Langley のサイバーノーガード日記 情報漏えい発覚後も放置しつづける大手Webサービス | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

Langley のサイバーノーガード日記 情報漏えい発覚後も放置しつづける大手Webサービス

特集 特集

 筆者が定期的にリマインドしている話題であるが、個人情報漏えいは無くならない。無くならないどころか、漏えいしていることがわかっていても、放置して顧みることがない事業者さんもいる。

100万人以上のメールアドレス漏えいを民間の研究者が発見
https://www.netsecurity.ne.jp/1_12571.html
http://netsecurity.blog77.fc2.com/blog-entry-16.html
利用者無視の通報対策裏マニュアルが存在する?
https://www.netsecurity.ne.jp/3_12518.html
サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
https://www.netsecurity.ne.jp/3_12470.html

 筆者が2008年の11月に発見し、関係諸機関を通じて通報したサイトの、最大100万件近くのメールアドレス漏えいは、なんとその後も(この原稿を書いている現在も)順調に継続中である。

 いまだに、簡単な操作で個人情報(メールアドレス)を見ることができる。当該業者さんにも、IPAさんにも通報したので、筆者ができることはこれ以上ない。あとは、実名をさらすことくらいだが、あまりにも簡単にメールアドレスを見ることができるので、悪用する人がいそうだから、ちょっと怖くてできない。

 知らずに被害者になっている人のために、リマインドしておこう。このサイトは、メールマガジンの配信スタンドである。メールマガジンを取っている人は、チェックした方がいいと思う。メールマガジンが届くメールアドレスで検索すれば、もし漏えいしていればヒットするはずだと思う。

 それ以外に確認する方法としては、サーチエンジンの検索窓で特定のサイト上に限定してメールアドレスを検索するのである。

 例えば、google だとこんな感じになる。

@docomo.ne.jp site:*****
@ezweb.ne.jp site:*****

 *****には、読者諸兄が自分のメールアドレスを登録した気になるサイトを入れるとよい。当然、「@docomo.ne.jp」の箇所は、「@yahoo.co.jp」でも「@nifty.com」でもかまわないわけであるが、なぜか、「@docomo.ne.jp」と「@ezweb.ne.jp」で検索した方が見つかりやすい。

 では、不幸にして自分のアドレスを見つけたら、どうするか? 不幸にして自分のアドレスを見つけてしまった場合は、常識的には下記のような対処を行うべきであるはずなのであるが……

・メールマガジン発行者に連絡する
・メールマガジン配信スタンドに連絡する
・当該サイトに連絡する
・IPAに連絡する

 こうすると、メールマガジン発行者やIPAから当該サイトに連絡が行くはずである。常識あるサービスならば、この時点で対処してくれるはずである。

 ところが、サイトによっては、そうしてくれないところもある。小さいサイトだからというわけではなく、サイト運営者の倫理観とかの問題のようだ。

 昨年11月からメールアドレス漏えいを続けているサイトは、のべ100万人の利用者を抱えるそれなりの規模のサービスなのである。サイトの規模と倫理観は、全く比例関係にはない。

 ついでに言うと、昨年の同じ頃、筆者が発見し、情報漏えいを指摘させてもらったとある業界最大手のとあるサービスは、登録者がのべ1,000万人を超えているそうである。ここは情報漏えいには迅速に対処した。そこまでは良いが、今度はその事実を公表していない。つまり利用者は、自分の個人情報が漏えいしたかもしれないことを知らないのである。もちろん、この、とある業界最大手のとあるサービスは、プライバシーマークもちゃんと取っている業者である。

 ことほど左様に、サイトの信頼性というのは、その規模やマークの取得によっては判断できない。

 閑話休題。じゃあ、どうすればよいか? それは、ひたすら、いやな客になってクレームをつけるしかない。実は、大変申し訳ない話であるが、ちゃっかり筆者は、自分だけ、自分のアドレスが載っているとこだけを削除してもらった。方法は簡単だ。

 警察に訴えてやると、メールマガジン制作者とそのサイトにしつこくクレームをつけたのである。そしたら、そこだけ対処してくれた。このサイトのメールマガジン発行システムには、いったん作ったログファイルを削除する機能がなく、そのためにいったん事故で出来てしまった読者のアドレス入りのログファイルを削除できないのである。

 そのようなクレーマーまがいのことをするのは気が引けるという紳士淑女もおられると思う。その気持ちは大変よく理解できる。個人情報と、クレーマーまがいのことまでしたくないという意識を天秤にかけて、どちらを取るかご自身で判断していただきたい。筆者などは迷いなく、クレーマーを選んだわけである。

 逆に言うと、この事例が示す通り、手動でひとつずつ消せば消せるのだ。それをやらないのは、ただ面倒くださいからだと思う。なので、しつこくクレームをつけ、面倒くささを上回る怖さを感じさせれば勝ちである。不幸にして被害者になってしまった方は、がんばってクレームをつけてほしい。

 日本の法律やIPAが面倒くさをはるかに下回る怖さしかないのは、とても残念なことではあるが、これも仕方がないのであろう。

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×